TACACS+协议工作原理及双因素双因子认证应用

之前写过一篇《Radius协议认证原理及双因素/双因子认证应用》,TACACS+协议和Radius协议都是AAA协议的一种,核心作用都是认证(Authentication)、授权(Authorization)和计费(Accounting),和Radius协议的区别是:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nFwsjWdE-1690965103231)(https://image.3001.net/images/20220620/1655691674_62afd99a5af064cb4dcfc.png!small?1655691675768)]

** TACACS** ** +** ** 和Radius一样也是C/S架构**

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t3TmuPNo-1690965103233)(https://image.3001.net/images/20220620/1655691682_62afd9a2cdb4c205f6ebe.png!small?1655691682858)]

图中NAS(网络接入服务器)作为TACACS+客户端,向远程接入用户提供接入及与TACACS+服务器交互的服务。TACACS+服务器上则存储用户的身份信息、授权信息以及访问记录,对用户进行认证、授权和计费服务。

** TACACS** ** +** ** 工作原理**

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iryE9Sgu-1690965103234)(https://image.3001.net/images/20220620/1655691689_62afd9a9b6d8c9bc9cdb5.png!small?1655691689937)]

1、Telnet用户请求登录设备。

2、TACACS+客户端收到请求之后,向TACACS+服务器发送认证开始报文。

3、TACACS+服务器发送认证回应报文,请求用户名。

4、TACACS+客户端收到回应报文后,向用户询问用户名。

5、用户输入用户名。

6、TACACS+客户端收到用户名后,向TACACS+服务器发送认证持续报文,其中包括了用户名。

7、TACACS+服务器发送认证回应报文,请求登录密码。

8、TACACS+客户端收到回应报文,向用户询问登录密码。

9、用户输入密码。

10、TACACS+客户端收到登录密码后,向TACACS+服务器发送认证持续报文,其中包括了登录密码。

11、TACACS+服务器发送认证回应报文,指示用户通过认证。

12、TACACS+客户端向TACACS+服务器发送授权请求报文。

13、TACACS+服务器发送授权回应报文,指示用户通过授权。

14、TACACS+客户端收到授权回应成功报文,向用户输出设备的配置界面。

15、TACACS+客户端向TACACS+服务器发送计费开始报文。

16、TACACS+服务器发送计费回应报文,指示计费开始报文已经收到。

17、用户请求断开连接。

18、TACACS+客户端向TACACS+服务器发送计费结束报文。

19、TACACS+服务器发送计费结束报文,指示计费结束报文已经收到。

TACACS+协议本身的优势非常明显,那么在双因素/双因子认证领域中如何应用?

** TACACS** ** +** ** ** ** 双因素/双因子认证** ** 领域中的应用**

TACACS+主要体现在网络设备中,Cisco设备使用的TACACS+协议,华为和华三设备使用的HWTACACS协议,功能一致,以HWTACACS为例:

** 配置hwtacacs服务器模板**

(在服务器模板下,指定与交换机对接的服务器的IP地址、端口号(默认为49)和共享密钥,交换机上的配置信息需要与服务器上的信息保持一致)

hwtacacs-server template ckey //建立“ckey”hwtacacs服务器模板

hwtacacs-server authentication xxx.xxx.xxx.xxx //认证服务器地址

hwtacacs-server authorization xxx.xxx.xxx.xxx //授权服务器地址

hwtacacs-server accounting xxx.xxx.xxx.xxx //审计服务器地址

hwtacacs-server shared-key cipher ****** //配置共享秘钥******

undo hwtacacs-server user-name domain-included //取消域名后缀,登录时不需要后缀域名

quit

** 配置AAA方案**

aaa

authentication-scheme ckey1 //创建认证方案ckey1

authentication-mode hwtacacs local //认证模式为hwtacacs认证,备份认证模式为本地认证

quit

authorization-scheme ckey2 //创建授权方案ckey2

authorization-mode hwtacacs local //授权模式为hwtacacs授权,备份授权模式为本地授权

authorization-cmd 15 hwtacacs local //用户级别授权

quit

accounting-scheme ckey3 //创建计费方案ckey3

accounting-mode hwtacacs //计费模式为hwtacacs计费(交换机没有本地计费)

accounting start-fail online //计费功能启动失败,允许用户上线

accounting interim-fail online //计费功能临时故障,允许用户上线

quit

注:需要在设备上配置本地用户,以确保在hwtacacs服务器故障的情况下,用户可以本地认证上线

** 配置本地用户**

aaa

local-user user1 password irreversible-cipher ****** //创建用户user1和密码

local-user user1 privilege level 15 //为user1用户授予15级权限

local-user user1 service-type telnet //授予user1 Telnet权限

quit

** 配置域**

(配置用户所属的域并在域下绑定AAA方案和服务器模板,默认情况下普通用户在default域内,管理员用户在default_admin内)

aaa

domain ckeydas //创建ckeydas域

authentication-scheme ckey1 //绑定ckey1认证方案

authorization-scheme ckey2 //绑定ckey2授权方案

accounting-scheme ckey3 //绑定ckey3计费方南

hwtacacs-server ckey //绑定ckey hwtacacs服务器模板

** 远程登入授权**

user-interface vty 0 4

authentication-mode aaa

  • 配置方法仅供参考,各设备各版本会有所不同,具体参考官方文档!

** 配合中科恒伦TACACS** ** +** ** 服务端,有几个非常大的优势:**

1、统一用户管理:直接在服务端增删改查用户;

1655691758_62afd9ee7b5cb40ad7905.png!small?1655691758699

2、统一认证:统一在服务端认证,服务端可启用双因素/双因子认证,即可安全登录;

1655691767_62afd9f7d0a33fbe0a3f5.png!small?1655691768502

3、统一授权:在服务端为不同用户分配不同的登录权限,并且可设置允许输入的命令,

1655691773_62afd9fd9a2d219f8310f.png!small?1655691773807

4、统一审计:详细记录xx用户在xx时间访问xx设备,并且详细记录该账号的操作命令;

1655691779_62afda03b68d6cc4d7c48.png!small?1655691780051

综合来看,TACACS+协议在双因素认证领域中的应用非常成熟,相对Radius协议控制更精细,所以正常情况下我更偏向使用TACACS+协议对接双因素认证。

103238)]

4、统一审计:详细记录xx用户在xx时间访问xx设备,并且详细记录该账号的操作命令;

[外链图片转存中…(img-JkoFTkCe-1690965103239)]

综合来看,TACACS+协议在双因素认证领域中的应用非常成熟,相对Radius协议控制更精细,所以正常情况下我更偏向使用TACACS+协议对接双因素认证。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZdjEZCIC-1690965103240)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Uk4Y8syX-1690965103242)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fZNW6gur-1690965103243)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bqNzstqY-1690965103245)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T228kC9X-1690965103246)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

同学们可以扫描下方二维码获取哦!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值